Salg og kassation af udstyr

Formål

Bestemmelsen har til formål at sikre, at myndigheden har fastsat kontraktkrav vedrørende salg og kassation af udstyr, der har været anvendt i forbindelse med Aftalens opfyldelse. 

Kontrakttyper hvor bestemmelsen kan bruges

Bestemmelsen kan anvendes i alle kontrakter, der regulerer behandling af information på udstyr. Det afhænger af den konkrete aftale, hvilket udstyr der skal være genstand for foranstaltninger i forbindelse med salg, genbrug og kassation af udstyr. 

Hvis en offentlig myndighed behandler personoplysninger, skal myndigheden som hovedregel fastsætte retningslinjer for salg og kassation af udstyr, der har været anvendt i forbindelse med behandling.

Udover hvad der følger af gældende lovgivning, vil det være op til myndighedens ledelse at fastlægge niveauet for tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende salg og kassation af udstyr, der har været anvendt i forbindelse med behandling af information. De tekniske og organisatoriske sikkerhedsforanstaltninger fastlægges med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning.

Fordele og ulemper ved brug af bestemmelsen

Det er en fordel, at myndigheden får mulighed for at sikre sig, at der føres kontrol med, at information ikke kommer til uvedkommendes kendskab i forbindelse med kassation eller salg af udstyr. 

Det er også en fordel, at myndigheden får mulighed for at dokumentere over for Rigsrevisionen, Datatilsynet og andre interessenter, at der er fastsat passende sikkerhedskrav.

Det kan være en ulempe, at bestemmelsen ikke kan anvendes uden tilpasning i forhold til den enkelte myndigheds konkrete behov. Omvendt medfører tilpasningsøvelsen, at myndigheden får overblik over præcis, hvad der skal leveres og i hvilket omfang. Dette vil i sidste ende blive afspejlet i de forbundne omkostninger. 

Opfølgning i driftsfasen

Omfatter aftalen behandling af personoplysninger, er myndigheden som udgangspunkt retligt forpligtet til at påse, at leverandøren overholder de fastsatte sikkerhedsbestemmelser, jf. persondatalovens § 42, stk. 1. I aftaler, der regulerer behandling af personoplysninger, er det derfor som minimum relevant at kunne modtage dokumentation for, at leverandøren har opfyldt sin forpligtelse på myndighedens anmodning og ellers i overensstemmelse med myndighedens årlige interne risikovurdering. 

Det er op til ledelsen i den enkelte myndighed på baggrund af sin overordnede risikovurdering samt risikovurderingen af den konkrete løsning at fastlægge, i hvilket omfang der skal foretages opfølgning. 

Bod/bonus

Utilstrækkelig håndtering af salg og kassation af udstyr kan have alvorlige konsekvenser, idet information på udstyret kan komme til uvedkommendes kendskab. Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder bod og ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret, og skade på omdømme.

Rapportering

Krav om rapportering skal implementeres selvstændigt i materialet, f.eks. som en del af en samlet regulering af informationssikkerhedsbrud og/eller brud på behandlingssikkerheden. Se klausul om revision og tilsyn.

Det vil være op til myndighedens ledelse at fastlægge niveauet for rapportering med udgangspunkt i myndighedens overordnende risikovurdering samt risikovurderingen af den konkrete løsning. Behandles der personoplysninger, skal der tillige tages højde for de persondataretlige anmeldelses- og underretningsforpligtelser. Det er hensigtsmæssigt, at kunden underrettes uden unødig forsinkelse i forbindelse med misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser. Det kan eksempelvis være i tilfælde, hvor udstyr er solgt, før det blev renset for information.

Ubekendte

Bestemmelsen indeholder en række ubekendte markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en drøftelse med leverandøren inden for de udbudsretlige rammer om, hvilket indhold bestemmelsen skal have.

Myndigheden bør i forbindelse med fastlæggelse af foranstaltninger i relation til salg og kassation af udstyr gøre sig en række overvejelser, om eksempelvis:

  • Krav om anvendelse af særligt udpeget tredjemand i forbindelse med kassation af udstyr, herunder hvorvidt denne skal være certificeret, eller om det er tilstrækkeligt at gøre brug af en kommunal renovationsordning. 
  • Retningslinjer for hvilke metoder der skal anvendes i forbindelse med destruktion af information på udstyr, der skal videresælges, herunder om destruktionen skal ske i overensstemmelse med særlige internationale standarder, eller om det er tilstrækkeligt at gendanne fabriksindstillingerne på udstyret. 
  • Rammerne for hvem udstyr må sælges til, herunder om udstyr må sælges til private eller offentlige i ind- eller udland. 
Der lægges overordnet op til, at ubekendte, som myndigheden vurderer, det kan være relevant at ændre løbende, fastlægges i bilag, da det typisk er mindre omfattende at ændre disse end selve aftalen. Det kan eksempelvis være fastlæggelsen af, hvilke standarder der skal følges i forbindelse med destruktion af information. 

De ovenstående forslag til krav er ikke direkte understøttet i nærværende forslag til bestemmelsen, hvorfor sådanne krav skal beskrives i bestemmelsen eller i et bilag.